為確保佳必琪國際股份有限公司(以下簡稱「本公司」)資訊資產之機密性、完整性與可用性,並符合法規要求,避免內外部威脅,本公司特訂定本政策。
本政策適用範圍為本公司之全體同仁、委外服務廠商、資料使用者(含保管者)與訪客等。資通安全管理範疇涵蓋組織、人員、實體及技術等4大領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種資通安全危害之可能風險。
◎ 為維護本公司資訊資產之機密性、完整性與可用性,期藉由本政策之實施,以達成下列目標。
◎ 建立安全及可信賴之資訊化作業環境,確保本公司資料、系統、設備及網路之安全,以保障本公司業務永續運作。
◎ 保護本公司業務服務之安全,確保資訊需經授權人員才可存取,以確保其機密性。
◎ 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
◎ 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。
◎ 確保本公司各項業務服務之執行須符合上市上櫃公司資通安全管控指引,以及相關法令規範之要求。
◎ 為保護本公司業務相關個人資料之安全,免於因外在威脅或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失或洩漏等風險。
◎ 確保本公司各項營運服務之執行須符合政府相關法令(如:刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)規範之要求。
佳必琪為了加強資通安全技術應用與經驗交流,於今年加入TWCERT/CC與台灣資安主管聯盟(簡稱:台灣CISO聯盟)。
國際資安事件聯防
跨國資安情報交流
企業資安通報轉介
情資收集資安宣導
主要職權:
1.通過與發行佳必琪集團「資通安全政策」與 管理程序書。
2.資訊資產風險評鑑 - 決定可接受風險值會議。
3.114年度管理審查會議。
4.本公司定期於向董事會報告資通安全執行情形,最近一次為2025年11月4日。
2025年度召開 3 次,
平均實際出席率
100%
本公司資訊安全管理制度(ISMS)係依據國際標準組織所訂定之持續改善P.D.C.A.循環流程管理模式,整合及強化資訊安全管理體系,建立制度化、文件化及系統化之管理機制。透過持續監督及審查管理績效,落實資訊安全管理及業務持續營運之理念,確保本公司所屬資訊資產之機密性、完整性及可用性,並符合相關法令法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,同時保障本公司員工及客戶之權益,以達到下列目的:
1. 落實資訊安全管理政策。
2. 遵循法規要求。
3. 強化資訊安全應變能力。
4. 培養資訊人員資通安全專業能力。
5. 達成資訊安全管理有效性測量指標。
佳必琪於 2025 年 9月取得資訊安全管理系統國際標準 ISO/IEC 27001:2022 認證,佳必琪持續在資訊安全管理領域的努力及提升資訊安全的績效和決心。確保公司落實 ISO 27001 管理機制,每三年也會執行證書重新認證的程序,持續維持 ISO 27001有效認證。
管理辦法適用範圍:
本公司之董事、經理人、全體員工、與本公司有業務往來之客戶、廠商、顧問、提供服務之廠商或第三方人員等。
權責部門:
人資行政部門 / 資通訊部 / 業務部 / 採購部 / 財會部 / 法務部 / 稽核部
員工教育訓練(法治與資安教育訓練共計7場)2025年度
1290 人次,
訓練時數計 1683 小時
員工社交工程演練 每半年 1 次
重大系統服務時間
員工資安意識訓練
弱點掃描
備份還原演練
密碼合規率
